KASPERSKY INDUSTRIAL CYBERSECURITY.ОБЗОР РЕШЕНИЯ

ЛАНДШАФТ УГРОЗ АСУ ТП

DEC 2015 JAN 2016 FEB 2016 MAR 2016 MAY 2016APRIL 2016

НЕДАВНИЕ (ИЗВЕСТНЫЕ) ИНЦИДЕНТЫ

BLACKENERGY – УКРАИНА, ДЕКАБРЬ 2015

• Дек 2015 – атаки на энергосеть «Прикарпатьеоблэнерго»

• 100 предприятий получили письма с целевым фишингом.

• После кражи учетных записей с доступом в АСУ ТП, подстанции

были выключены дистанционно (SSH бэкдор) в ручном режиме.

Параллельно происходила DDoS атака на ситуационный call-центр,

а вредоносный модуль KillDisk отключал ряд технологических

процессов и повреждал данные на серверах АСУ ТП.

• В Ивано-Франковской области более 1000 подстанций были

остановлены на несколько часов.

ВЗЛОМ АСУ ТП – СЦЕНАРИЙ КРАЖИ

Наполнение бензовозов «лишним» топливом. Основано на реальных событиях

Система автоматизации взломана. Как это использовать?

Пустой бензовоз приезжает на нефтебазу

Заливка топлива… с «небольшой» поправкой

Бензовоз покидает нефтебазу

«Лишнее» топливо сливается

2% топлива с каждого бензовоза

ПРИЧИНЫ ИНЦИДЕНТОВ

35%Вредоносное ПО

19%Ошибки в АСУТП

Другое

12%

Источник: RISI Annual Summary 2013

Ошибки операторов

11%

23%Ошибки в другом ПО

В ЧЕМ СЛОЖНОСТЬ ЗАЩИТЫ

Слабая осведомленность,

отсутствие точных данных

и обилие недостоверной

информации

Невозможно применить

традиционные

«офисные» подходы к

обеспечению

безопасности

Большинство атак нацелены

на устаревшие,

незащищенные и с трудом

поддающиеся обновлениям

объекты

Отсутствие навыков борьбы с

киберугрозами и практического

опыта обеспечения

кибербезопасности в

промышленности

Нет понимания того,

насколько важна

защищенность от

кибератак для

промышленных

предприятий

О ПРОМЫШЛЕННОЙ СПЕЦИФИКЕ

ДРУГИЕ ПРИОРИТЕТЫ БЕЗОПАСНОСТИ

НА ПОРОГЕ ЧЕТВЕРТОЙ ПРОМЫШЛЕННОЙ РЕВОЛЮЦИИ: ТЕХНОЛОГИЧЕСКИЕ ВЫЗОВЫ

18-й век: паровой

двигатель

Начало 20-го века:

конвейер

1970-е гг.: автоматизация

производства

Сегодня

Постоянный

прогресс IT-

технологий

Умные

устройства

Потоковые

вычисленияИнтернет вещей в

промышленностиМежмашинное

взаимодействие

Аддитивное

производство

КОМПЛЕКСНЫЙ ПОДХОД К ОБЕСПЕЧЕНИЮ

КИБЕРБЕЗОПАСНОСТИ ПРОМЫШЛЕННЫХ СИСТЕМ

13

Планирование

бизнеса и логистика

Уровень 4

Управление

производственными

операциями

Уровень 3

Групповое управление,

непрерывное

управление, дискретное

управление

Уровень 2, 1

Физический

Уровень 0

Управление всей цепочкой снабжения: финансы,производство,

использование материалов, доставка и транспортные операции.

Управление и учет производственных операций. Ведение

записей и оптимизация производственного процесса.

Мониторинг, диспетчерский контроль и автоматизированное

управление производственным процессом

Измерение и задание параметров производственного

процесса

Физические устройства

Ka

spe

rsky In

du

str

ial

Cyb

erS

ecurity

Kaspers

ky

Security

дл

я б

изн

еса

и п

роф

ессионал

ьны

е

сервисы

Физи

ческа

я

безо

пасность

KASPERSKY INDUSTRIAL CYBERSECURITY:

СТРУКТУРА РЕШЕНИЯ

14

ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ СЕРВИСЫ

ЗАЩИТА ОТ

ВРЕДОНОСНОГО ПО

ЦЕНТРАЛИЗОВАННОЕ

УПРАВЛЕНИЕ

ПОИСК АНОМАЛИЙ /

КОНТРОЛЬ

ЦЕЛОСТНОСТИ

МОНИТОРИНГ

УЯЗВИМОСТЕЙ

СИСТЕМА ПРЕДОТВРАЩЕНИЯ

ВТОРЖЕНИЙ

СИСТЕМА

РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ

ИНТЕГРАЦИЯ С ДРУГИМИ

РЕШЕНИЯМИ

ОБУЧАЮЩИЕ СЕРВИСЫ

ЭКСПЕРТНЫЕ СЕРВИСЫ

ОБЗОР РЕШЕНИЯ

ТИПОВАЯ АРХИТЕКТУРА

PLC

Fieldbus

Control Network

SCADA/DCS Network

Plant DMZ Network

Office Network

PLC

SCADASCADA

SCADA

Internet

SCADA

ВЕКТОРА АТАК

PLC

Fieldbus

Control Network

SCADA/DCS Network

Plant DMZ Network

Office Network

PLC

SCADASCADA

SCADA

Internet

SCADA

Infected USB keys

Infected USB keys

Infected PLC logic

Infected Laptops

Insecure Wireless

BadAccessRules

Insecure Remote Support

Insecure Internet connection

ВЕКТОРА АТАК

PLC

Fieldbus

Control Network

SCADA/DCS Network

Plant DMZ Network

Office Network

PLC

SCADASCADA

SCADA

Internet

SCADA

Infected USB keys

Infected USB keys

Infected PLC logic

Infected Laptops

Insecure Wireless

BadAccessRules

Insecure Remote Support

Insecure Internet connection

Нак

опи

тел

ь

регулирующий клапан

Датчик уровня

Вредоносное изменение уставок процесса

Переполнение емкости, мошенечество Вредоносное изменение

ПИД параметраИзнос/разрушение

оборудования

Насос

Вредоносное изменение диапазона датчика

Переполнение емкости, мошенечество

Вредоносное изменение логики процесса

Гидроудар, повреждение оборудования, аварийнае

остановка

Вредоносная команда STOPОстановка процесса

PLC

SCADA

ВЕКТОРА АТАК

PLC

Fieldbus

Control Network

SCADA/DCS Network

Plant DMZ Network

Office Network

PLC

SCADASCADA

SCADA

Internet

SCADA

Infected USB keys

Infected USB keys

Infected PLC logic

Infected Laptops

Insecure Wireless

BadAccessRules

Insecure Remote Support

Insecure Internet connection

KASPERSKY INDUSTRIAL CYBERSECURITY

PLC

Fieldbus

Control Network

SCADA/DCS Network

Plant DMZ Network

Office Network

PLC

SCADASCADA

SCADA

Internet

SCADA

KASPERSKY INDUSTRIAL CYBERSECURITY

PLC

Fieldbus

Control Network

SCADA/DCS Network

Plant DMZ Network

Office Network

PLC

SCADASCADA

Internet

SCADA

KICS for Nodes

SCADA

KICS for Nodes

KICS for Nodes

SPAN

Kaspersky Security Center

KICS for Networks

КИБЕРБЕЗОПАСНОСТЬ — ПОСТОЯННЫЙ ПРОЦЕСС

Поддержка и

сервисы

Внедрение

Осведомленность

об угрозах и

рисках

Оценка рисков

Проектирование

средств защиты

KASPERSKY INDUSTRIAL CYBERSECURITY:

СТРУКТУРА РЕШЕНИЯ

23

ПРОДУКТЫ СЕРВИСЫ

KICS FOR NODES KASPERSKY

SECURITY CENTER

ОБУЧАЮЩИЕ СЕРВИСЫ ЭКСПЕРТНЫЕ СЕРВИСЫKICS FOR NETWORKS

KASPERSKY INDUSTRIAL CYBERSECURITY

KASPERSKY INDUSTRIAL CYBERSECURITY (KICS)СЕРВИСЫ

Обучающие сервисы

Тренинги для специалистов по безопасности

Программа повышения осведомленности

Деловая игра KIPS

Экспертные сервисы

Анализ защищенности / Cyber Security Assessment

Проектирование и внедрение решения

Поддержка и сопровождение решения

Реагирование и расследование инцидентов

KASPERSKY INDUSTRIAL CYBERSECURITY (KICS)ТЕХНОЛОГИИ

Kaspersky Industrial CyberSecurity for Nodes (KICS for Nodes)

Защита рабочих станций, серверов и ПЛК в промышленной сети от угроз

Kaspersky Industrial CyberSecurity for Networks (KICS for Networks)

Пассивный мониторинг сетевого трафика промышленной сети и обнаружение угроз

Kaspersky Security Center (KSC)

Централизованный мониторинг и управление компонентами KICS

KASPERSKY INDUSTRIAL CYBERSECURITY:

27

ТЕХНОЛОГИИ СЕРВИСЫ

KASPERSKY

SECURITY CENTER

ОБУЧАЮЩИЕ СЕРВИСЫ ЭКСПЕРТНЫЕ СЕРВИСЫKICS FOR NETWORKS

KASPERSKY INDUSTRIAL CYBERSECURITY

KICS FOR NODES

KICS FOR NODESФУНКЦИОНАЛ

Application control

Предотвращение и мониторинг запуска

неразрешенных приложений (вирусы, плееры,

игры и т.д.)

Device Control

Предотвращение подключения неразрешенных

устройств (USB носители, беспроводные

адаптеры, 3G модемы)

Antimalware

Блокирование ВПО (эвристические и

сигнатурные методы)

Vulnerability monitor

Обнаружение уязвимых приложений на АРМ и

серверах

Host-based firewall

Фильтрация сетевого трафика на уровне АРМ и

серверов

PLC Integrity checker

Контроль целостности программ PLC

KICS FOR NODSПОДДЕРЖИВАЕМЫЕ ОС

Windows XP Professional SP3 и выше:

Windows 7 Professional / Enterprise / Ultimate SP1 и выше

Windows 7 Professional / Enterprise / Ultimate x64 Edition SP1 и выше

Windows Server® 2003 R2 Standard / Enterprise SP2 и выше

Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2 и выше

Windows Server 2003 Standard / Enterprise SP2 и выше

Windows Server 2003 Standard / Enterprise x64 Edition SP2 и выше

Windows Server 2008 R2 Standard / Enterprise x64 Edition

Windows Server 2008 R2 Standard / Enterprise x64 Edition SP1 и выше

--

Windows XP Professional SP2

Windows 10

Windows Embedded

KICS FOR NODES VS KES

Оптимизированный набор компонентов

Самостоятельная реализация Контроль запуска программ

Добавлена Проверка целостности проектов PLC

Самоограничение потребления ресурсов

Возможность обновления с внешнего носителя

Возможность работы без перезагрузки до полугода

Отключение монитора antimalware / только плановые проверки

Сертификация с разработчиками компонент АСУ ТП

KICS FOR NODESAPPLICATION CONTROL

— Portable executables

.exe, .scr, .sys

— rundll32.exe

.dll

— cmd.exe

.bat

.cmd

.com

— msiexec.exe

.msi

— mmc.exe

.msc

— wscript.exe / cscript.exe

.js

.vbs

.wsf

— regedit.exe

.reg

KICS FOR NODESAPPLICATION CONTROL / ТЕСТОВЫЙ РЕЖИМ

Тестовый режим работы может применяться

как для тестирования правил запуска

приложений, так и для пассивного

мониторинга узлов информационной системы

Industrial NetworkHistorian Control Server HMI

PLC

Laptops

PLC PLC

DB Server E-Mail Server Workstations Laptops

KasperskySecurity Center

Corporate Network

Smartphones

Internet

KICS FOR NODESPLC INTEGRITY CHECKER

— Компонент предназначен для

периодической проверки

целостности проектов ПЛК

— Принцип работы

Администратор назначает для

каждого ПЛК эталонный проект

KICS for Nodes периодически

опрашивает ПЛК и сравнивает

текущий проект с эталонным

В случае расхождения

контрольной суммы

генерируется событие

нарушения целостности проекта

— KICS for Nodes защищает

следующие модели ПЛК:

Siemens Simatic серии S7-300

Siemes Simatic серии S7-400

KASPERSKY INDUSTRIAL CYBERSECURITY:

34

ТЕХНОЛОГИИ СЕРВИСЫ

KICS FOR NODES KASPERSKY

SECURITY CENTER

ОБУЧАЮЩИЕ СЕРВИСЫ ЭКСПЕРТНЫЕ СЕРВИСЫ

KASPERSKY INDUSTRIAL CYBERSECURITY

KICS FOR NETWORKS

NETWORK INTEGRITY CONTROL

• … несанкционированных сетевых устройств

• … аномальных сетевых потоков между устройствами

PROCESS INTEGRITY CONTROL

• … критических команд, посылаемых на PLC

• … изменений значений параметров техпроцесса

KICS FOR NETWORKSФУНКЦИОНАЛ

Пассивное обнаружение в трафике промышленной сети …

KICS FOR NETWORKSАРХИТЕКТУРА

PLC

Fieldbus

Control Network

PLCSPAN KICS for

Networks(Sensor)

PLC

Fieldbus

Control Network

PLC

TAP

KICS for Networks(Sensor)

Kaspersky Security Center

KICS for Networks(CCU)

Ethernet

Traffic copy(SPAN or TAP)Trusted Network

KICS FOR NETWORKSPROCESS INTEGRITY CONTROL (ПОДХОД)

Изучение технологического процесса с технологами и программистами АСУ ТП объекта

Моделирование сценариев возможных промышленных аварий

Подключение KICS for Networks к точкам сбора сетевого трафика

Импорт тегов из систем для формирование правил отклонения параметров от нормы

Формирование, применение и тестирование правил

Эксплуатация системы, мониторинг, обнаружение отклонений от правил

Проведение расследование инцидента

Внесение изменений по результатам инцидента

KICS FOR NETWORKS

ПОДДЕРЖИВАЕМЫЕ ПЛК

Vendor* Model*

Siemens Siemens Simatic S7-300

Siemens Simatic S7-400

Schneider Electric Modicom Momentum

Modicom M340

Allen-Bradley /

Rockwell Automation

ControlLogix 5571 with

Communication Modules 1756-EN2TRB.

Mitsubishi MELSEC-Q

Any Any models with IEC 61850 support

Any Any models with IEC 60870-5-104 support

*Новое оборудование добавляется по плану,

а так же по запросу в течении 3 – 6 месяцев

KICS FOR NETWORKSПОДДЕРЖИВАЕМЫЕ КОМАНДЫ ПЛК

Команды аутентификации на оборудовании

Команды запуска / остановки PLC;

Команды установки / разрыва соединения

Команды очистки памяти PLC.

Команды чтения / записи программы в PLC;

Команды чтения / записи конфигурации в терминал

Команды чтения / записи параметров в терминал

…

KICS FOR NETWORKS

ПОДДЕРЖИВАЕМЫЕ SCADAVendor Software/Version

Siemens SIMATIC Win CC 7.X

Schneider Electric Citect SCADA 7.X

General Electric Proficy iFix 5.X

General Electric Unity Pro XL 4.0

ARC Informatique PcVue 10.x и 11.x

*Для автоматизации процесса импорта тегов, а так же в ручном режиме

KASPERSKY INDUSTRIAL CYBERSECURITY:

41

ТЕХНОЛОГИИ СЕРВИСЫ

KICS FOR NODES ОБУЧАЮЩИЕ СЕРВИСЫ ЭКСПЕРТНЫЕ СЕРВИСЫKICS FOR NETWORKS

KASPERSKY INDUSTRIAL CYBERSECURITY

KASPERSKY

SECURITY CENTER

KASPERSKY SECURITY CENTER ФУНКЦИОНАЛ

Централизованное управление и мониторинг, на уровне устройств и групп

Централизованное обновление сигнатурных баз

Централизованное установка агентов

Ролевое управление

Интеграция SIEM, HMI, ERP, BI

KASPERSKY SECURITY CENTER ЦЕНТРАЛИЗАЦИЯ

PLC

Fieldbus

Control Network

SCADA/DCS Network

PLC

KICS for Nodes

SCADA

KICS for Nodes

KICS for Nodes

SPAN

Kaspersky Security Center

KICS for Networks

KASPERSKY SECURITY CENTER ИЕРАРХИЯ

Kaspersky Security Center

Industrial Facility 1

Kaspersky Security Center

Industrial Facility 2

Kaspersky Security Center

Industrial Facility 3

Kaspersky Security Center

Kaspersky Security Center

Office Network

ИНТЕГРАЦИЯ KSC С HMI

— Kaspersky Security Gateway

поддерживает два протокола

обмена данными со SCADA

IEC 60870-5-104

OPC 2.0 DA

— Связь с сервером

администрирования

осуществляется через механизм

автоматизации KLAKAUT

HMI

KasperskySecurity Center

KasperskySecurity Gateway

SCADA Software

TCP 13 000TCP 13 291

OPC DA 2.0 / IEC 60870-5-104

Administration Kit Automation

COM API

РЕАЛИЗОВАННЫЕ ПРОЕКТЫ

«Решение Kaspersky Industrial CyberSecurity полностью удовлетворяло нашим требованиям, а также обеспечило

такие функции, как контроль устройств и возможность централизованного управления и мониторинга

состояния защищенных узлов».

Роман Янукович, технический директор, VARS

ЗАЩИТА ТРАНСПОРТНОГО ТЕРМИНАЛА VARS

ЗАДАЧА:

Терминал является местом хранения и перевалки

токсических материалов: поэтому противодействие

вирусным атакам жизненно важно для ведения бизнеса.

ОСОБЕННОСТИ:

►Защита в изолированной среде

►Контроль на основе белых списков

«Уже в первые месяцы работы решение по защите индустриальных объектов «Лаборатории

Касперского» обнаружило несанкционированное подключение стороннего ноутбука к одному

из контроллеров, а также попытку изменить параметры работы датчика».

Марат Гильметдинов, начальник отдела АСУ ТП, ТАНЕКО

ТАНЕКО ЗАЩИЩАЕТ ПРОИЗВОДСТВЕННЫЕ МОЩНОСТИ

ЗАДАЧА:

Поддержание непрерывности

технологических процессов как основной

приоритет компании

ОСОБЕННОСТИ

►Оперативная поддержка на всех этапах

►Обнаружение несанкционированных подключений

СПАСИБО ЗА ВНИМАНИЕ

KASPERSKY.RU/ICS